La NSA et le FBI dévoilent le nouveau #malware Drovorub de fabrication russe ciblant #Linux, les agences émettent une alerte commune contenant des détails techniques sur ce logiciel malveillant
▻https://securite.developpez.com/actu/308038/La-NSA-et-le-FBI-devoilent-le-nouveau-malware-Drovorub-de-fabri
Le logiciel malveillant comporte différents modules qui garantissent la discrétion, la persistance et un accès complet à la machine compromise avec les plus hauts privilèges. « Drovorub est un ensemble de logiciels malveillants pour Linux composé d’un implant (client) couplé à un rootkit de module de noyau, d’un outil de transfert de fichiers et de transfert de ports et d’un serveur de commande et de contrôle (C2) », peut-on lire dans le document publié par les deux agences américaines.
Dans ce rapport technique publié par la NSA et le FBI, on trouve des détails sur les capacités de Drovorub et des propositions de solutions de détection et de prévention. Selon le rapport, le rootkit est très efficace pour se cacher sur une machine infectée et survit aux redémarrages « à moins que le démarrage sécurisé UEFI (Unified Extensible Firmware Interface) soit activé en mode "Full" ou "Thorough" ». Le rapport décrit les détails techniques de chaque partie de Drovorub, qui communiquent entre elles via JSON sur des WebSockets et chiffrent le trafic vers et depuis le module serveur en utilisant l’algorithme RSA.